¿Qué es CVE (vulnerabilidades y exposiciones comunes)?

El catálogo de CVE se parece más a un diccionario que a una base de datos de CVE. Proporciona un nombre y una descripción para cada vulnerabilidad o exposición. Al hacerlo, permite la comunicación entre herramientas y bases de datos dispares y ayuda a mejorar la interoperabilidad y la cobertura de seguridad. CVE es de descarga y uso gratis o públicos. La lista CVE alimenta la base de datos nacional de vulnerabilidades (NVD) de EE. UU.

CVE, la organización, es "un esfuerzo internacional basado en la comunidad que mantiene un registro de datos abiertos impulsado por la comunidad de vulnerabilidades de ciberseguridad conocidas públicamente como la lista CVE".¹

Uno de los desafíos fundamentales en ciberseguridad es identificar y mitigar las vulnerabilidades que los hackers pueden explotar para comprometer aplicaciones, sistemas y datos. CVE ayuda a abordar este desafío al proporcionar un marco estandarizado para catalogar y rastrear vulnerabilidades de ciberseguridad que las organizaciones pueden usar para mejorar los procesos de gestión de vulnerabilidades.

El sistema CVE emplea identificadores únicos, conocidos como ID CVE (a veces llamados números CVE), para etiquetar cada vulnerabilidad reportada. Esto facilita la comunicación, la colaboración y la gestión eficaces de las fallas de seguridad.

MITRE Corporation creó CVE en 1999 como un catálogo de referencia para categorizar las vulnerabilidades de seguridad en software y firmware. El sistema CVE ayuda a las organizaciones a debatir y compartir información sobre vulnerabilidades de ciberseguridad, evaluar la gravedad de las vulnerabilidades y hacer que los sistemas informáticos sean más seguros.

La Junta Editorial de CVE supervisa el programa CVE. La junta incluye miembros de organizaciones relacionadas con la ciberseguridad, miembros del mundo académico, instituciones de investigación, agencias gubernamentales y otros destacados expertos en seguridad. Entre otras tareas, la junta aprueba las fuentes de datos, la cobertura de productos, los objetivos de cobertura para las entradas de la Lista CVE, y gestiona la asignación continua de nuevas entradas.²

US-CERT en la oficina de Ciberseguridad y Comunicaciones del Departamento de Seguridad Nacional (DHS) de EE. UU. patrocina el programa CVE.³

El programa CVE define una vulnerabilidad como “una debilidad en la lógica computacional que se encuentra en los componentes de software y hardware que, cuando se explota, se deriva en un impacto negativo en la confidencialidad, integridad o disponibilidad”. Por lo tanto, una vulnerabilidad se refiere a una debilidad, como un error de codificación, que los atacantes pueden emplear para obtener acceso no autorizado a redes y sistemas, instalar malware, ejecutar código y robar o destruir datos confidenciales. Una exposición permite ese acceso.

Pensemos en una casa: una vulnerabilidad es una ventana con una cerradura que un ladrón puede abrir fácilmente. Una exposición es una ventana que alguien olvidó bloquear.

Para calificar como CVE y que se le asigne un identificador CVE (CVE ID), las fallas de seguridad deben cumplir con ciertos criterios:

• Reparable independientemente de otras fallas: la falla debe poder corregir por separado de otras vulnerabilidades.
  
  
• Reconocido por el proveedor o documentado en un informe de vulnerabilidad: el proveedor debe reconocer que el error existe y afecta negativamente a la seguridad. O debe haber un reporte de vulnerabilidad que demuestre el impacto negativo del error en la seguridad y su violación de la política de seguridad del sistema afectado.
  
  
• Afectación a una base de código: el error debe afectar solo a una base de código (un producto). A las fallas que afecten a más de un producto se les asignarán CVE independientes para cada producto.

Las autoridades de numeración de CVE (CNA) asignan ID de CVE y publican registros de CVE dentro de ámbitos de cobertura específicos. La corporación MITRE funciona como editor y CNA principal. Otras CNA incluyen los principales proveedores de sistemas operativos (SO) y TI (incluidos IBM, Microsoft y Oracle), investigadores de seguridad y otras entidades autorizadas. Las CNA operan de forma voluntaria. Actualmente hay 389 CNA de 40 países diferentes.⁴

Las raíces son organizaciones que están autorizadas a reclutar, capacitar y gobernar a los CNA u otras raíces dentro de un alcance específico.

Las raíces de nivel superior son las raíces de más alto nivel y son responsables de "la gobernanza y la administración de una jerarquía específica, incluidas las raíces y las CNA dentro de esa jerarquía".⁵ Actualmente hay dos raíces de alto nivel en el programa CVE: The MITRE Corporation y la Cybersecurity and Infrastructure Security Agency (CISA).

Puede encontrar información adicional sobre la estructura de la organización CVE aquí.

Cualquiera puede enviar un informe de CVE. Las vulnerabilidades suelen ser descubiertas por investigadores de ciberseguridad, profesionales de la seguridad, proveedores de software, miembros de la comunidad de código abierto y usuarios de productos a través de diversos medios, como la investigación independiente, las evaluaciones de seguridad, el análisis de vulnerabilidades, las actividades de respuesta a incidentes o simplemente el uso de un producto. Muchas compañías ofrecen una recompensa por errores (por encontrar e informar de manera responsable sobre las vulnerabilidades encontradas en el software).

Una vez que se identifica e informa una nueva vulnerabilidad, se envía a un CNA para su evaluación. A continuación, se reserva una nueva CVE para la vulnerabilidad. Este es el estado inicial de un registro CVE.

Luego de examinar la vulnerabilidad en cuestión, la CNA presenta detalles que incluyen los productos a los que afecta, cualquier versión actualizada o corregida del producto, el tipo de vulnerabilidad, su causa raíz e impacto y al menos una referencia pública. Cuando estos elementos de datos se agregaron al registro CVE, la CNA publica el registro en la lista CVE, haciéndolo disponible públicamente.

La entrada de CVE pasa a formar parte de la lista oficial de CVE, a la que pueden acceder profesionales de la ciberseguridad, investigadores, proveedores y usuarios de todo el mundo. Las organizaciones pueden emplear los ID de CVE para rastrear y priorizar las vulnerabilidades dentro de sus entornos, evaluar su exposición a amenazas específicas e implementar las medidas adecuadas de mitigación de riesgos.

Las entradas de CVE incluyen un ID de CVE, una breve descripción de la vulnerabilidad de seguridad y referencias, incluidos informes y avisos de vulnerabilidad. Los ID de CVE tienen una construcción de tres partes:

1. Un ID de CVE comienza con el prefijo "CVE"
   
   
2. La segunda sección es el año de la asignación
   
   
3. La última sección del ID de CVE es un identificador secuencial

El ID completo se ve así: CVE-2024-12345. Esta identificación estandarizada ayuda a garantizar la coherencia y la interoperabilidad entre diferentes plataformas y repositorios, permitiendo a las partes interesadas referenciar y compartir información sobre vulnerabilidades específicas empleando un "lenguaje común".

Los registros CVE están asociados con uno de tres estados:

• Reservado: este es el estado inicial, asignado a un CVE antes de que sea divulgado públicamente (cuando una CNA está examinando la vulnerabilidad).
  
  
• Publicado: Esto es cuando una CNA ha reunido e ingresado los datos asociados al ID de CVE y publicado el registro.
  
  
• Rechazado: en esta etapa, no se deben emplear el ID y el registro de CVE. Sin embargo, el registro rechazado permanece en la lista de CVE para informar a los usuarios que el ID y el registro no son válidos.

Una forma en que las organizaciones pueden evaluar la gravedad de las vulnerabilidades es mediante el Sistema de puntuación de vulnerabilidades comunes (CVSS, por sus siglas en inglés). El CVSS, operado por el orum of Incident Response and Security Teams (FIRST), es un método estandarizado utilizado por la National Vulnerability Database (NVD), los Equipos de Respuesta a Emergencias de Ciberseguridad (CERT) y otros para evaluar la gravedad y el impacto de las vulnerabilidades reportadas. Es independiente del sistema CVE, pero se emplea junto con este: los formatos de registro CVE permiten a las CNA agregar una puntuación CVSS a los registros CVE al publicar registros en la lista CVE.⁶

El CVSS asigna un puntaje numérico a las vulnerabilidades, que va de 0.0 a 10, en función de la explotabilidad, el alcance del impacto y otras métricas. Cuanto más alta sea el puntaje, más grave será el problema. Este puntaje ayuda a las organizaciones a medir la urgencia de abordar una vulnerabilidad en particular y asignar recursos en consecuencia. No es raro que las organizaciones también empleen su propio sistema de puntaje de vulnerabilidades.

Los puntajes CVSS se calculan en función de los puntajes de tres grupos de métricas (base, temporal y ambiental) que incorporan diferentes características de una vulnerabilidad.

Las compañías confían más en los puntajes métricos básicos, y las clasificaciones públicas de gravedad, como las proporcionadas en la base de datos nacional de vulnerabilidades del Instituto Nacional de Estándares y Tecnología (NIST), que emplean exclusivamente el puntaje métrico básico. Este puntaje de métricas base no considera las características de vulnerabilidad que cambian con el tiempo (métricas temporales), los factores del mundo real, como el entorno del usuario, o las medidas que una compañía tomó para evitar la explotación de un error.

Las métricas base se desglosan entre métricas de explotabilidad y métricas de impacto:

• Las métricas de explotabilidad incluyen factores como el vector de ataque, la complejidad del ataque y los privilegios necesarios.
  
  
• Las métricas de impacto incluyen el impacto en la confidencialidad, el impacto en la integridad y el impacto en la disponibilidad.⁷

Las métricas temporales miden una vulnerabilidad en su estado actual y se emplean para reflejar la gravedad de un impacto a medida que cambia con el tiempo. También incorporan cualquier corrección, como los parches disponibles. La madurez del código de explotación, el nivel de corrección y la confianza en los informes son componentes del puntaje métrico temporal.

Las métricas ambientales permiten a una organización ajustar el puntaje base según su propio entorno y requisitos de seguridad. Este puntaje ayuda a poner una vulnerabilidad en un contexto más claro en relación con la organización e incluye un puntaje de requisito de confidencialidad, un puntaje de requisito de integridad y un puntaje de requisito de disponibilidad. Estas métricas se calculan junto con métricas base modificadas que miden el entorno específico (como el vector de ataque modificado y la complejidad de ataque modificada) para alcanzar una puntuación de métricas ambientales.

El programa CVE representa un enfoque colaborativo y sistemático para identificar, catalogar y abordar las vulnerabilidades y exposiciones de ciberseguridad. Al ofrecer un sistema estandarizado para identificar y hacer referencia a vulnerabilidades, CVE ayuda a las organizaciones a mejorar la gestión de vulnerabilidades de varias maneras:

CVE es un catálogo de vulnerabilidades de ciberseguridad conocidas, donde cada CVE ID es específico para una falla de software. La enumeración de debilidades comunes (CWE) es un proyecto de la comunidad de TI que enumera diferentes tipos o categories de debilidades de hardware y software, como errores de búfer, errores de autenticación o problemas de CPU. Estas debilidades podrían conducir a una vulnerabilidad.